Wie konfiguriere und verwalte ich Amazon-VPC-Sicherheitsgruppen und Netzwerk-ACLs?

Lesedauer: 4 Minute

Ich möchte Amazon Virtual Private Cloud (Amazon VPC)-Sicherheitsgruppen und Netzwerk-Zugriffssteuerungslisten (Netzwerk-ACLs) konfigurieren und verwalten. Ich möchte VPCs mit anderen AWS-Konten teilen oder mehrere VPCs verwalten.

Behebung

Hinweis: Es hat sich bewährt, Sicherheitsgruppen für eine differenzierte Zugriffskontrolle und Netzwerk-ACLs für einen breiteren Zugriff zu verwenden.

Konfigurieren der Amazon-VPC-Sicherheitsgruppe

Wenn du Sicherheitsgruppenregeln konfigurierst, lasse nur den Datenverkehr zu, der für das Funktionieren der Anwendungen und Services erforderlich ist.

Bei Bedarf kannst du mehrere Sicherheitsgruppen verwenden, um verschiedene Arten von Zugriffsregeln getrennt zu verwalten. Füge beispielsweise mehrere Sicherheitsgruppen an eine einzige Elastic-Network-Schnittstelle für den Zugriff auf Web-Datenverkehr, Datenbankzugriff und zur Überwachung von Tools an.

Stelle sicher, dass du Regeln auf der Grundlage der AWS-Serviceanforderungen konfigurierst. Erlaube für Amazon Elastic Compute Cloud (Amazon EC2)-Instances beispielsweise SSH (Port 22) für Linux-Instances oder das Standard-TCP (Port 3389) für Windows-Instances. Erlaube für Amazon Relational Database Service (Amazon RDS)-Instances datenbankspezifische Ports.

Beispiel für Regeln für eingehenden Datenverkehr, um von deinem Computer aus eine Verbindung zu Instances herzustellen:

Protokolltyp	Protokollnummer	Port	Quell-IP-Adresse
TCP	6	22 (SSH)	Deine Netzwerkadresse
TCP	6	3389 (TCP)	Deine Netzwerkadresse

Beispiel für Regeln für eingehenden Datenverkehr, um vom Datenbankserver aus eine Verbindung zu Instances herzustellen:

Protokolltyp	Protokollnummer	Port	Quell-IP-Adresse
TCP	6	1433 (MS SQL)	Deine Netzwerkadresse
TCP	6	3306 (MYSQL/Amazon Aurora)	Deine Netzwerkadresse

Wenn du die Regeln erstellst, kannst du anstelle von einzelnen privaten IP-Adressen oder CIDR-Bereichen auch auf andere Sicherheitsgruppen verweisen.

Sicherheitsgruppen mehrere VPCs zuordnen

Standardmäßig kannst du Sicherheitsgruppen nur Ressourcen in der VPC zuordnen, in der du die Sicherheitsgruppe erstellt hast. Um dieselbe Sicherheitsgruppe für mehrere VPCs innerhalb derselben AWS-Region in einem Konto zu verwenden, ordne Sicherheitsgruppen andere VPCs zu.

Netzwerk-CIDR-Blöcke mit verwalteten Präfixlisten konsolidieren und verwalten

Wenn du auf eine Präfixliste verweist, umfasst das Kontingent für die Anzahl der Einträge für die Ressource die maximale Anzahl von Einträgen für die Präfixliste. Wenn du beispielsweise auf eine Präfixliste mit maximal 20 Einträgen in einer Sicherheitsgruppenregel verweist, zählen die Einträge als 20 Sicherheitsgruppenregeln.

Verwende eine kundenverwaltete Präfixliste, um mehrere Sicherheitsgruppenregeln, die denselben Port und dasselbe Protokoll, aber unterschiedliche CIDR-Blöcke haben, in einer einzigen Regel zu konsolidieren. Wenn du eine kundenverwaltete Präfixliste aktualisierst, erben Sicherheitsgruppenregeln, die auf die Liste verweisen, automatisch die Änderungen.

Erstelle eine kundenverwaltete Präfixliste und zeige dann die Einträge für die Liste an.

Sicherheitsgruppen mit Organisationen gemeinsam nutzen

Du kannst VPCs für mehrere Konten innerhalb deiner AWS-Organisations-Organisation gemeinsam nutzen. Verwende die Funktion Gemeinsam genutzte Sicherheitsgruppe, um Sicherheitsgruppen mit anderen Konten in der Organisation gemeinsam zu nutzen.

Mitgliedskonten können beispielsweise Sicherheitsgruppen verwenden, die das Besitzerkonto mit Regeln erstellt hat, die den organisationsweiten Sicherheitsrichtlinien in gemeinsam genutzten VPC-Subnetzen entsprechen.

Hinweis: Mitgliedskonten können gemeinsame Sicherheitsgruppen verwenden, die Regeln jedoch nicht ändern.

Netzwerk-ACLs konfigurieren

Verwende beim Konfigurieren von Netzwerk-ACLs die folgenden bewährten Methoden:

Behalte zwischen den Netzwerk-ACL-Regeln Lücken bei, um zukünftige Regeln zu berücksichtigen, sodass du bestehende Regeln nicht neu anordnen musst.
Verwende separate Netzwerk-ACLs für verschiedene Subnetze, um den eingehenden und ausgehenden Datenverkehr auf der Grundlage der Ressourcen in den einzelnen Subnetzen zu steuern.
Verwende flüchtige Ports für ausgehenden Datenverkehr, um Antworten von AWS-Services zu ermöglichen.

Ressourcen mit Tags markieren

Um dir die Identifizierung des Zwecks und der zugehörigen Ressourcen der Sicherheitsgruppen und Netzwerk-ACLs zu erleichtern, füge ihnen ein Tag hinzu. Mithilfe von Tags kannst du Ressourcen effizient in verschiedenen Teams oder Projekten verwalten und organisieren. Du kannst Ressourcen für Automatisierung und Wartung systematisch filtern und verwalten.

Relevanter Inhalt

Wie konfiguriere ich CloudFront-Cache-Richtlinien und Richtlinien für Ursprungsanfragen, um das Cache-Verhalten zu steuern und Weiterleitungsanfragen zu verwalten?
AWS OFFICIALAktualisiert vor 5 Monaten
Wie verwalte ich die Protokollebenen meiner AWS-IoT-Protokolle in AWS IoT Core am besten?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie konfiguriere und verwalte ich den kontoübergreifenden Zugriff auf Amazon-Route-53-Ressourcen?
AWS OFFICIALAktualisiert vor 2 Monaten
Wie verwalte ich Domain-Einstellungen, -Verlängerungen und WHOIS-Informationen für Domains, die bei Route 53 registriert sind?
AWS OFFICIALAktualisiert vor 3 Monaten